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Domaine de Pinvention 

La presente invention concerne un boitier securise renfer- 
mant un clavier permettant dlntroduire des donnees confidentielles telles 
qu'un numero d 'identification personnel, destinees en particulier a un 
5 systenie de paiement electronique. 

Les circuits electroniques ont largement contribue au deve- 
loppement des societes modernes et sont utilises dans de nombreux do- 
maine s de la technique. 

Ces circuits ont en particulier permis la creation et Tessor 
10 des systemes dits « de paiement electronique » qui permettent d'effectuer 
diverses transactions a partir de terminaux de paiement electronique 
equipes de claviers numeriques en utilisant des cartes de credit. 

Or, ces systemes doivent etre securises de fagon a proteger 
tant les clients que les commergants en evitant tout risque de transactions 
15 frauduleuses. 

D ans ce but, les banques et les fabricants de cartes de cre- 
dit attribuent a celles-ci des numeros d'identification personnels que leurs . 
proprietaires doivent , entrer dans le clavier numerique equipant les termi- 
naux de paiement electronique, 
20 Apres leur introduction, les numeros d 'identification ainsi 

que d'autres donnees confidentielles figurant sur les cartes de credit sont 
cryptes dans des modules de securite prealablement a la transaction. 

Le numero d'identification personnel permet done de verifier 
que la carte de credit est bien utilisee par son veritable proprietaire, et non 
25 par un intrus ayant trouve ou vole celle-ci. 

Pour des raisons evidentes de securite, il est essentiel 
qu'entre son introduction dans le clavier numerique d'un terminal de 
paiement electronique et son cryptage un numero d 'identification person- 
nel ne soit pas accessible a des tiers malintentionnes, 
30 II est par suite necessaire d'associer des dispositifs de pro- 

tection a ces claviers. 

Les fraudeurs font cependant preuve de plus en plus 
d'astuce pour tenter d'obtenir des donnees confidentielles et par suite la 
securisation des claviers numeriques des terminaux de paiement electro- 
35 nique est de plus en plus difficile. 

A titre d'exemple, les fraudeurs peuvent : 
- visualiser la saisie d'un code confidentiel (directement ou par 
rintermediaire de systemes video) ; 
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- acceder a Telectronique du systeme, notamment en inserant dans ce- 
lui-ci une carte electronique « moucharde » ; 

« ecouter » les emissions electromagnetiques emises par Telectronique 
du systeme pour les correler avec les touches appuyees ; 
5 - voler les informations lorsqu'elles sont frappees, par exemple en posant 
un faixx clavier au-dessus du clavier veritable, ou en repandant sur 
celui-ci une substance telle que de la poussiere qui laisse des traces 
sur les touches utilisees. 

Etat de la technique 
10 Differents moyens ont deja ete proposes pour tenter de se- 

curiser les claviers numeriques des terminaux de paiement electronique. 

On a a titre d'exemple deja propose de dissimuler les tou- 
ches des claviers des regards indiscrets (document WO 00/68859) ou en- 
core de changer la position des touches a chaque nouvelle utilisation 
15 (document WO 98/27518). 

Ces differents moyens rendent plus difficile la determination 
des donnees confidentielles en regardant un utilisateur les taper sur un 
clavier numerique, 

II a egalement deja ete propose d'enfermer le clavier, son 
20 controleur ainsi que le module de securite associe a celui-ci dans un boi- 
tier scelle, de fagon a interdire aux fraudeurs d'avoir acces au systeme 
electronique en amont du cryptage des donnees confidentielles introduites 
dans le clavier. 

A titre d'exemple, on a deja propose conformement au do- 
25 cument WO 01/92349 d'enfermer Telectronique entre le clavier et une 
plaque de verre. 

De telles solutions s'averent cependant tres onereuses et 
particulierement difficiles a mettre en oeuvre. 

Par suite, jusqu'a ce jour, il n'a pas ete propose de moyen 
30 de securisation sur et satisfaisant sur le plan economique des claviers 
numeriques des terminaux de systemes de paiement electronique. 
But de Tinvention 

La presente invention a pour objet de combler cette lacune 
en proposant un boitier securise renfermant un clavier numerique congu 
35 de maniere a empecher les intrus de pouvoir acceder frauduleusement 
aux donnees confidentielles introduites avant leur cryptage par un module 
de securite. 
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Llnvention a en particulier pour objet de permettre de de- 
tecter un dispositif place sur le clavier afin de determiner les donnees 
confidentielles entrees, ou de prevenir toute alteration du systeme effec- 
tuee dans le meme but. 

Un autre objet de Tinvention est d'empecher toute ecoute 
des emissions electromagnetiques generees par Telectronique du systeme. 

Le boitier qui fait I'objet de Tinvention est tout specialement 
adapte a la securisation des claviers numeriques equipant les terminaux 
de paiement des systemes de paiement electronique mais peut s 'adapter a 
la securisation de tout systeme dans lequel des donnees confidentielles 
sont transmises par clavier. 

Expose de Tinvention 

Le boitier securise qui fait I'objet de Tinvention est caracte- 
rise en ce qu'il comporte une matrice tactile capacitive reliee d'une part 
par des fils de liaison a une carte de circuit imprime portant le controleur 
associe, un module de securite ainsi qu'une electronique sensible aux va- 
riations de la capacite du systeme, et prise d 'autre part en sandwich entre 
deux plaques de verre, a savoir une plaque de verre avant ou plaque de 
protection et une plaque de verre arriere ou plaque de support. 

Selon rinvention on utilise done les proprietes des ecrans 
tactiles capacitifs, bien connus de ITiomme du metier, pour detecter la 
presence d'un dispositif exterieur fixe sur le clavier numerique, comme par 
exemple un faux clavier ou une substance deposee afin de marquer les 
touches enfoncees lors de la saisie du code confidentiel. 

Le clavier numerique est affiche au dessous des plaques de 
verre par un dispositif quelconque tel qu'ecran LCD, CRT, LED, autocol- 
lant, ... et est lu par transparence. 

Pour introduire son code confidentiel I'utilisateur touche 
avec ses doigts la plaque de protection au dessous de laquelle le clavier est 
affiche. 

Cette manipulation a pour consequence de changer locale- 
ment la capacite du systeme, ce qui permet au controleur de connaitre la 
position touchee done de determiner le code confidentiel introduit. 

II s'agit la du fonctionnement classique d'un ecran tactile 

capacitif. 

Pour que le systeme de securisation conforme a I'invention 
puisse fonctionner de maniere satisfaisante, il est bien entendu necessaire 
d'avoir determine lors d'une etape d'etalonnage prealable mise en oeuvre 
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pendant la fabrication du boitier, la capacite du systeme au repos (au re- 
pos signifiant qu'il n'y a aucun objet a cote ou sur Tecran tactile) au ni- 
veau des differents emplacements de la plaque de protection, 
correspondant aux differentes touches du clavier. 
5 La liste de ces valeurs de capacite est enregistree dans une 

memoire en tant que reference, 

Toute tentative de « masquage » du clavier dans un but 
frauduleiox modifie la capacite du systeme. 

Par suite, en cours de fonctionnement les valeurs reelles de 
10 capacite sont constamment comparees aux valeurs enregistrees et toute 
deviation superieure a un niveau de deviation autorise predetermine est 
interpretee comme indicative d'une fraude et declenche une alarme ou 
I'arret du systeme. 

Selon une autre caracteristique de I'invention, la carte de 
15 circuit imprime est situee a proximite immediate de la matrice tactile ca- 
pacitive et est recouverte par la plaque de protection. 

Cette caracteristique permet aux fils de liaison de la matrice 
tactile capacitive et de la carte de circuit imprime d'etre aussi courts que 
possible, ce qui a pour resultat d'interdire Tacces aux circuits ou transi- 
20 tent des donnees confidentielles non securisees. 

Selon une autre caracteristique de Tinvention, la carte de 
circuit imprime et les composants electroniques fixes sur celle-ci sont 
noyes dans une resine cassante, notamment une resine epoxy. 

Cette caracteristique permet de garantir que les fils reliant 
25 les differents composants electroniques soient automatiquement brises en 
cas d'attaque physique, notamment de tentative de « poingonnage » des 
plaques de verre. 

Selon une autre caracteristique de Tinvention, la plaque de 
support est recouverte, sur sa face arriere, d'une troisieme plaque de verre 
30 ou plaque de recouvrement se prolongeant au niveau de la face arriere de 
la carte de circuit imprime. 

La presence de cette plaque de recouvrement permet 
d'ameliorer la securisation de la carte de circuit imprime. 

Selon rinvention, la plaque de protection, la plaque support 
35 et le cas echeant, la plaque de recouvrement sont de preference realisees 
en un verre cassant. 
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Cette caracteristique contribue a interdire a un intrus 
d'avoir acces a des donnees confidentielles non securisees en aval de la 
plaque de protection. 

En effet, toute tentative dans ce sens aurait pour conse- 
5 quence de casser les differentes plaques de verre et/ ou la resine cassante 
dans laquelle est noyee la carte de circuit imprime, et par suite 
d'endommager Telectronique du systeme et de detruire les donnees confi- 
dentielles qu'elle contient. 

Selon une caracteristique preferentielle de Finvention, le 
10 boitier securise renferme un circuit de detection de fraudes comportant 
une source de tension, un conducteur electrique accole a une plaquesde 
verre, ainsi qu'un detecteur de courant associe a un organe d'alarme. 

Le conducteur electrique peut etre constitue par un long fil 
ou une metallisation d'une plaque de verre en forme de boucle. 
15 Toute tentative d'acces aux parties sensibles du boitier se- 

curise (module de securite par exemple) entraine la fragmentation des pla- 
^ques de verre et par suite la rupture du conducteur qui est 
immediatement detectee par le detecteur de courant et interrompt 
I'alimentation d'une memoire de sauvegarde de parametres de fonction- 
20 nement du clavier stockes lors de la fabrication. 

La detection de cette rupture entraine une alarme efe,avan- 
tageusement la desactivation du systeme. 

Selon une autre caracteristique particulierement avanta- 
geuse de Tinvention, le circuit de detection de fraudes est parcouru par un 
25 courant oscillant a haute frequence module en amplitude et en frequence 
de fagon a provoquer un brouillage des emissions electromagnetiques du 
systeme vis-a-vis de Texterieur et a empecher ainsi toute tentative de lec- t 
ture. des signaux internes du systeme a I'aide d*un recepteur haute fre- 
quence exterieur. 

30 Selon rinvention, on peut egalement prevoir d'autres orga- 

nes de securisation du boitier, par exemple associer a Tecran un filtre op- 
tique standard connu en lui-meme de fagon a permettre de reduire Tangle 
de vision sur lequel le clavier peut etre lu. 
Dessins 

35 Les caracteristiques du boitier securise qui fait Fobjet de 

rinvention seront decrites plus en detail en se referant aux dessins an- 
nexes dans lesquels : 
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- la figure 1 est une perspective « eclatee » schematique illustrant la 
configuration du boitier securise ; 

- la figure la est un schema illustratif du mode d 'utilisation du boitier ; 

- la figure lb est un schema illustratif d'une tentative de fi-aude ; 

- la figure 2 est un schema representant le circuit de detection de fi-au- 
des. 

Description de modes de realisation 

Selon la figure 1 , le boitier securise 1 comporte une matrice 
tactile capacitive prise en sandwich entre deux plaques realisees en un 
verre cassant a savoir une plaque de protection 3 et une plaque de sup- 
port 5. 

La matrice tactile capacitive 2 est reliee par des fils de liai- 
son 6 a une carte de circuit imprime 7 portant le controleur associe, un 
module de securite 16 (figure 2) ainsi qu'une electronique sensible aux 
variations de la capacite du systeme. 

La carte de circuit imprime 7 et les composants electroni- 
ques fixes sur celle-ci sont noyes dans une resine epoxy cassante 8. 

Comme represents sur la figure 1, la carte de circuit impri- 
me 7 est situee a proximite immediate de la matrice tactile capacitive 2 et 
est recouverte par la plaque de protection 3 dont la longueur est supe- 
rieure a celle de la plaque de support 5. 

La plaque de support 5 peut le cas echeant etre recouverte 
sur sa face arriere opposee a la plaque de protection 3 par une troisieme 
plaque de verre non representee sur les figures, a savoir une plaque de 
recouvrement se prolongeant au niveau de la face arriere de la carte de 
circuit imprime 7. 

Cette configuration permet de reduire au maximum le trajet 
dans lequel transitent des donnees confidentielles non securisees apres 
leur introduction dans le boitier 1 . 

En effet, a la sortie du boitier 1, ces donnees ont subi un 
cryptage leur evitant d'etre interceptees par un fraudeur, 

II est a noter que conformement a Texemple de realisation 
represente sur les figures, la matrice tactile fonctionne selon la technologie 
classique des ecrans tactiles capacitifs projetes. 

Par suite la matrice tactile est constituee par une matrice 
de fins micro fils connectes au controleur. 

Une frequence dbscillation est assignee a chacun de ces 

micro fils. 
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Selon la figure la, pendant une utilisation normale, 
Tutilisateur touche avec ses doigts la plaque de protection 3 au travers de 
laquelle le clavier est affiche par un dispositif d'affichage 4. 

Le fait de toucher la plaque de protection 3 modifie la fre- 
5 quence dbscillation des micro fils situes a remplacement correspondant, 

Cette modification qui est une fonction de la capacite du 
systeme permet au controleur fixe sur la carte de circuit imprime 7 de 
determiner a quel endroit la plaque de protection 3 et par suite Tecran 
projete a ete touche par I'utilisateur, et done de determiner le code confi- 
10 dentiel introduit. 

Lors d'une etape d'etalonnage prealable on a mesure la ca- 
pacite au repos au niveau de chaque croisement de fils de la matrice tac- 
tile 7. 

La liste des valeurs ainsi mesurees est enregistree en tant - 
15 que reference dans une memoire 9 associee au module de securite 16 

d'une fagon representee schematiquement sur la figure 2. ^ 

Selon la figure lb, si un intrus applique sur la plaque de 
protection 3 un dispositif de « marquage » 10 tel que faiox clavier ou cou- 
che de poussiere a des fins frauduleuses, la capacite reelle du systeme est 3 
20 modifiee et cette modification est constatee par Telectronique de com- S 
mande qui peut en reponse generer une alarme ou arreter le systeme. - 

Bien entendu, Tinvention pourrait etre transposee a de 
nombreuses autres technologies d'ecrans tactiles capacitifs sans pour cela 
sortie du cadre de celle-ci. 
25 Selon la figure 2, le boitier 1 renferme en outre un circuit de 

detection de fraudes 1 1 comportant essentiellement une source de tension 
12 ainsi qu'un conducteur electrique en forme de boucle 13 accole a la 
plaque de protection 3. 

Ce circuit 1 1 renferme egalement un detecteur de courant 
30 14 associe a un organe d 'alarme non represente. 

Une tentative d'acces aux parties sensibles du boitier, no- 
tamment a la carte de circuit imprime 7 a pour consequence de casser la 
plaque de protection 3 et par suite de rompre le conducteur 13 entrainant 
ainsi remission d'une alarme, et egalement la desactivation du systeme 
35 par suite de Teffacement de la memoire 9. 

Selon la figure 2, le circuit de detection de fraudes 1 1 est 
egalement equipe d'un dispositif de protection 15 permettant d'alimenter 
ce circuit en un courant oscillant. a haute frequence module en amplitude 
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et en frequence de fagon a provoquer un brouillage des emissions electro- 
magnetiques du systeme vis-a-vis de Texterieur. 
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REVENDICATIONS 
1*".) Boitier securise renfermant un clavier permettant d'introduire des 
donnees confidentielles telles qu'un numero d 'identification personnel 
destinees en particulier a un systeme de paiement electronique, 
5 caracterise en ce qu' 

il comporte une matrice tactile capacitive (2) reliee d'une part par des fils 
de liaison (6) a une carte de circuit imprime (7) portant le controleur asso- 
cie, un module de securite (16) ainsi qu'une electronique sensible aux va- 
riations de la capacite du systeme, et prise d'autre part en sandwich entre 
10 deux plaques de verre, a savoir une plaque de verre avant ou plaque de 
protection (3) et une plaque de verre arriere ou plaque de support (5). 

2°) Boitier securise selon la revendication 1, 
caracterise en ce que 
15 la carte de circuit imprime (7) est situee a proximite immediate de la raa- 
trice tactile capacitive (2) et est recouverte par la plaque de protection (3). 

3°) Boitier securise selon Tune quelconque des revendication s 1 et 2, 
caracterise en ce que 
20 la carte de circuit imprime (7) et les composants electroniques fixes sur 
ceile-ci sont noyes dans une resine cassante, notamment une resine epoxy 
(8). 

4*^) Boitier securise .selon Tune quelconque des revendication s 1 a 3, 
25 caracterise en ce que 

la plaque de support (5) est recouverte sur sa face arriere d'une troisieme 
plaque de verre ou plaque de recouvrement se prolongeant au niveau de la 
face arriere de la carte de circuit imprime (7). 

30 5*") Boitier securise selon Tune quelconque des revendications 1 a 4, 

caracterise en ce que 

la plaque de protection (3), la plaque de support (5) et le cas echeant la 
plaque de recouvrement sont realisees en un verre cassant. 

35 6°) Boitier securise selon Tune quelconque des revendications 1 a 5, 
caracterise en ce qu' 
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REVENDICATIONS 
1°) Boitier securise permettant d'introduire des donnees confidentielles 
telles qu'un numero d 'identification personnel destine en particulier a un 
systeme de paiement electronique et comportant une matrice tactile capa- 
5 citive (2) reliee d'une part par des fils de liaison (6) a une carte de circuit 
imprime (7) portant un controleur associe, un module de securite (16) ain- 
si qu'une electronique sensible aux variations de la capacite du systeme, 
et prise d'autre part en sandwich entre deux plaques de verre, a savoir 
une plaque de verre avant ou plaque de protection (3) et une plaque de 
10 verre arriere ou plaque de support (5), 
caracterise en ce que 

la plaque de protection (3) est realisee en un verre fragmentable et est 
equipee d'un conducteur electrique (13) constitue par un long fil accole a 
celle-ci ou par une metallisation en forme de boucle, ce conducteur elec- 

15 trique faisant d'une part partie d'un circuit de detection de fraudes (11) 
comportant une source de tension (12) ainsi qu'un detecteur de courant 
(14) associe a un organe d'alarme, et se rompant d'autre part sous Teffet 
d'une fragmentation de la plaque de protection (3) pour entrainer 
interruption du courant dans le circuit de detection de fraudes (11) et 

20 Tactivation de Torgane d'alarme. 

2**) Boitier securise selon la revendication 1, 
caracterise en ce que 

la plaque de support (5) est elle aussi realisee en un verre fragmentable et 
25 equipee d'un conducteur electrique faisant partie du circuit de detection 
de fraudes (11) et se rompant sous Teffet d'une fragmentation de celle-ci 
pour entrainer interruption du courant dans le circuit de detection de 
fraude (11) et Tactivation de Torgane d'alarme. 

30 3"*) Boitier securise selon Tune quelconque des revendications 1 et 2, 

caracterise en ce que 

la plaque de support (5) est recouverte sur sa face arriere d'une troisieme 
plaque de verre ou plaque de recouvrement se prolongeant au niveau de la 
face arriere de la carte de circuit imprime. 

35 

4**) Boitier securise selon la revendication 3, 
caracterise en ce que 

la plaque de recouvrement est elle aussi realisee en un verre fragmentable 
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il renferme un circuit de detection de fraudes (11) comportant une source 
de tension (12), un conducteur electrique (13) accole a une plaque de verre 
(3) ainsi qu'un detecteur de courant (14) associe a un organe d'alarme. 

7°) Boitier securise selon la revendication 6, 
caracterise en ce que 

le circuit de detection de fraudes (11) est parcouru par un courant oscil- 
lant a haute frequence module en amplitude et en frequence de fagon a 
provoquer un brouillage des emissions electromagnetiques du systeme vis- 
a-vis de Texterieur. 
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et equipee d'un conducteur electrique faisant partie du circuit de detection 
de fraudes (11) et se rompant sous I'effet d'une fragmentation de celle-ci 
pour entrainer I'interruption du courant dans le circuit de detection de 
fraudes (1 1) et ractivation de I'organe d'alarme. 

5") Boitier selon Tune quelconque des revendications 1 a 4, 
caracterise en ce que 

la carte de circuit imprime (7) est situee a proximite immediate de la ma- 
trice tactile capacitive (2) recouverte par la plaque de protection (3). 

6°) Boitier securise selon I'une quelconque des revendications 1 a 5, la 
carte de circuit imprime (7) et les composants electroniques fixes sur celle- 
ci sont noyes dans une resine cassante, notamment une resine epoxy (8). 

7°) Boitier selon Tune quelconque des revendications 1 a 6, 

caracterise en ce que 

le circuit de detection de fraudes (11) est parcouru par un courant os- 
cillant a haute frequence module en amplitude et en frequence de fagon a 
provoquer un brouillage des emissions electromagnetiques du systeme vis 
a vis de I'exterieur. 
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